虚拟专用网(***)可用于许多非常有用的应用。您可以安全地连接到任何公共WiFi热点。您可以克服自己喜爱的网站上的地理阻止限制,也可以连接到世界上任何地方的家庭或办公室网络。通过***连接发送的任何内容都将从您的设备加密,直到到达您的Open***服务器。
本指南将引导您完成在pfSense上设置Open***服务器所涉及的步骤,从而允许您从远程位置安全地访问家庭/办公室网络,并可选择通过它发送所有网络流量,以便您可以安全的访问互联网。
本指南不会处理与设置路由器有关的任何问题。运行pfSense的服务器可能充当路由器本身,因此我们假设pfSense服务器使用自己的IP地址直接连接到互联网。
注意事项
我们假设你已完成了以下的准备:
您已经安装了最新版本的pfSense2.3
pfSense 已经至少配置了一个WAN接口和一个LAN接口
您通过LAN接口将客户端设备连接到pfSense服务器
pfSense是一个全新的安装
您的客户端设备上已经安装了一个Viscosity副本
您的客户端设备需要通过LAN接口连接到pfSense服务器,以便您可以访问web配置器来设置pfSense。 具体如何实现这一点取决于您的特定网络配置。
如果您的客户端上没有安装Viscosity,那么请查看此设置指南以安装Viscosity (Mac | Windows)。
入门
首先,您需要从连接到pfSense服务器的LAN接口的客户端设备登录到Web配置器。 打开客户端上的浏览器,并导航到pfSense服务器的LAN接口的IP地址 (例如: https://10.0.0.1 或 https://192.168.0.1)。默认用户名密码如下:
User: admin
Password: pfsense
如果这是您第一次登录到Web配置器,它将运行设置向导。 通过点击pfSense徽标跳过此步骤并转到主仪表板。
为了安全起见,应该更改pfSense管理员密码。 单击 System > User Manager。 通过单击管理员帐户Actions下的编辑图标编辑密码。
通过输入新密码及其确认来更改密码,然后单击底部的 Save 按钮。
DNS服务器
设置我们将使用的DNS服务器的IP地址:
1. 单击 System > General Setup.
2. 在DNS Server Settings部分,首先设置两个DNS服务器地址为 8.8.8.8和8.8.4.4 (Google DNS)。 如果要使用不同的DNS服务器,请随时在这里设置。单击底部的 Save 按钮。
启用这些DNS服务器:
1. 单击 Interfaces > WAN.
2. 在General configuration部分, 设置 IPv4 Configuration Type 为 'Static IP'。
3. 在Static IPv4 configuration 部分, 设置 IPv4 address 为你的pfSense服务器的WAN IP地址。
4. 单击底部的 Save 保存按钮。
5. 页面顶部会出现一个×××框, 单击 Apply changes(应用更改) 使用新的DNS设置重置WAN接口。
默认情况下,DNS解析器启用后,这些DNS服务器将交给连接的客户端。
1. 在 Services > DNS Resolver 上修改DNS 解析器设置。
2. 选中 DNS Query Forwarding框,启用转发模式。
3. 单击 Save 按钮。
4. 页面顶部会出现一个×××框, 单击 Apply changes。
Open*** 向导
可以通过内置向导设置Open***服务器。
1. 单击 *** > Open*** ,单击 Wizards 选项卡。
2. 选择身份验证后端类型。 单击 Next 接受默认的'Local User Access'。
3. 现在我们需要创建一个新的证书颁发机构(CA)证书。 将描述性名称设置为“pfSense-CA”。
4. 将key length(密钥长度)设置为2048 bit ,将lifetime(有效期)设置为3650 days。
5. 其余的参数是识别控制该认证机构的人员或组织,根据您的情况适当设置。
6. 单击 Add new CA 转到服务器证书。
7. 设置服务器的descriptive(描述名称),key length(密钥长度)设置为 2048 bits,lifetime(有效期)为3650 天。
8. 填写个人/机构信息.。
9. 单击Create new Certificate(创建新证书)。
10. 转到下一页, 在General Open*** Server Information 部分,设置服务器的Description (描述名称)为'server'。
11. 在Cryptographic Settings(加密设置)部分选择TLS Authentication。
12. 将Encryption Algorithm(加密算法)保留为'AES-256-CBC (256-bit)'。
13. 在Tunnel Settings(隧道设置) 输入Tunnel Network address(隧道网络地址)为10.8.0.0/24。
14. 要允许访问本地网络上的计算机,请在本地网络设置中输入本地IP范围。 它可能会像10.0.0.0/24。
15. 设置Compression 为 'Enabled with Adaptive Compression(启用自适应压缩)'。
16. 选中 Inter-Client Communication(客户端间通信)框。
17. 在 Client Settings (客户端设置)部分,将DNS Server1设置为指向Open***服务器(10.8.0.1)。
18. 在Advanced text (高级选项)框内,添加以下内容:
push "route 10.0.0.0 255.255.255.0";mute 10;comp-lzo;
我们假设您的LAN子网为10.0.0.0/24。 如果不是,请相应调整。
19. 我们可以保留其余的设置,然后点击下面的 Next (下一步)。
20. 现在通过选中Firewall Rule(防火墙规则)和Open*** rule(Open*** 规则)框,然后点击 Next(下一步)。这些规则将允许您的客户端连接到Open***服务器,并允许客户端和服务器之间的***流量。
21. 现在将显示一个完成屏幕。 点击 Finish(完成)。
您现在已经创建了服务器证书。 在继续操作之前,我们需要修改向导中未涵盖的几个设置。
1. 单击server(服务器)旁边的编辑图标以编辑配置。
2. 在 General Information(常规信息)部分,更改Server Mode(服务器模式)为 'Remote Access ( SSL/TLS )'.
3. 点击 Save 保存设置。
Firewall(防火墙)
向导会自动生成防火墙设置。 但是,根据您的防火墙设置和版本,您可能需要检查向导创建的设置。 首先,导航到Firewall -> Rules(防火墙 - >规则),然后选择WAN,你应该看到这里创建的两个防火墙规则。 首先是确保IPv4流量可以离开WAN,第二个将是您的服务器正在侦听的端口,以确保客户端可以连接到您的服务器。
接下来,在浏览器顶部的规则列表中选择OPEN***TUN。 默认情况下,此处不会创建任何规则。 如果客户在访问互联网时遇到问题,则需要在此处添加规则以允许流量离开Open***隧道网络。 例如允许所有流量:
·创建一个新规则
设置Action(动作)为Pass(通过)
设置Interface(接口)为OPEN***TUN
设置Address Family(地址类型)为IPv4
设置Protocol (协议)为Any
保存设置
如果仍然存在通过***路由流量的问题,请导航到Firewall(防火墙) - > NAT,选择Outbound(出站),并确保模式设置为"Automatic outbound NAT rule generation (IPsec passthrough included) (自动出站NAT规则生成(包括IPsec直通)"
Client Certificate(客户端证书)
要连接到我们的Open***服务器,我们需要为要连接到服务器的每个设备生成客户端证书。
1. 单击 System > User Manager ,单位 + 按钮添加用户。
2. 填写用户名和密码。 在本示例中,我们将用户名设置为client1。
3. 确保选中Certificate(证书)框以创建用户证书。设置证书descriptive name(描述名称)为 client1。
4. certificate authority(证书颁发机构), key length(密钥长度)和 lifetime (有效期)设置为默认值。
5. 单击Save完成设置。 
pfSense提供了一个Open***客户端软件包,可用于创建Viscosity连接,而不直接处理任何证书或密钥。
1. 要安装软件包,请单击System > Package Manager ,然后单击 Available Packages(可用的软件包)选项卡。 这将显示所有可以安装的软件包列表。
2. 找到 'open***-client-export' ,然后单击右边的 + Install 按钮进行安装。
3. 开始安装将要求您确认, 单击 Confirm 开始安装。
4. 安装完成后,您可以通过单击*** > Open*** 并单击 Client Export (客户端导出)选项卡来导出配置。
5. 在Remote Access Server (远程访问服务器)部分选择服务器。其他参数的保留默认值。
6. 向下滚动到Open*** Clients (Open***客户端)部分,找到与您创建的用户的Certificate Name(证书名称)相对应的行(client1)。
7. 点击 'Viscosity Bundle'下载配置,这将下载配置文件的zip包到您的客户端设备。
8. 将文件解压缩到客户端设备上,找到“Viscosity.visc”文件。 将此文件可导入Viscosity。
Setting Up Viscosity(Viscosity设置)
由于Mac和Windows版本的Viscosity界面基本相同, 因此,我们将把我们的教程重点放在Mac版本上,并在设置过程中指出与Windows版本存在的不同。如果您没有运行Viscosity,请立即启动Viscosity。 在Mac版本中,您将看到Viscosity图标出现在菜单栏中。 在Windows版本中,您将看到系统托盘中出现Viscosity图标。单击菜单栏中的Viscosity图标(Windows:系统托盘),然后选择“首选项”:
Mac
Windows
这将显示可用***连接的列表。 我们假设你最近安装了Viscosity,所以这个列表是空的。 点击'+'按钮并选择 Import Connection (导入连接)> From File...(从文件):
找到Viscosity配置文件的位置并将其打开。 将会有一个弹出消息,指示连接已被导入。
Configuring the Connection(配置连接)
在“首选项”窗口中双击连接以显示连接设置。 现在您需要设置连接参数,如下所示:
1.在General(常规)选项卡 , 用自定义的连接名称替换默认连接名称,例如“DemoConnection”。
2.单击Networking(网络) 选项卡,在 DNS Settings (DNS设置)部分,在"Servers(服务器)" 栏输入"10.8.0.1"地址。
3.单击Options (选项)标签,选中'No Bind' 框。
4.单击Save 按钮保存应用设置。
Allowing Access to the Internet(允许访问Internet)
默认***连接将允许访问家庭/办公室(LAN)网络上的文件服务器和其他计算机。 但是,如果您还希望通过***连接发送所有互联网流量,则必须对连接进行修改:
1. 在Viscosity Preferences (首选项)窗口中双击连接以打开连接编辑器。
2. 单击Networking 选项卡。
3. 勾选 "Send all traffic over *** connection(通过***连接发送所有流量)" 选项。默认网关不用填写。
4. 单击 Save 按钮。
Connecting and Using Your *** Connection(连接和使用您的***连接)
你现在可以连接了。 单击菜单栏中的Viscosity图标(Windows:系统托盘),然后选择“连接DemoConnection”。将会有一个通知表示你现在已经连接上了!
要检查***是否已启动并运行,可以使用“Viscosity详细信息”窗口。 单击Viscosity菜单栏(Windows:系统托盘)图标,然后选择“详细信息...”。 这将连显示连接的详细信息。
此窗口将显示通过***连接的流量。
使用Open*** GUI客户端进行连接
除了使用Viscosity进行***连接以外,也可以使用pfsense自带的Open*** GUI进行***连接,不需要任何设置,安装完就可以直接连接。
1. 单击*** > Open*** 并单击 Client Export (客户端导出)
2. 下载Windows Vista and Later ,如果是WIN7以前的系统,则下载老的版本,并注意对应32和64位系统。
3. 安装完成后,在Windows右下角Open*** GUI图标上点鼠标右键,选择connect,会弹出连接窗口。如果连接成功,则显示为绿色的计算机图标
。
Accessing Network Resources(访问网络资源)
一旦连接到您的***,您可以使用您通过家庭/办公室本地网络连接到您的本地IP地址访问您的文件或其他服务。
Connect via Mac(通过Mac连接)
从连接到***的Mac连接到共享网络目录:
1. 打开Finder 窗口
2. 单击菜单栏上的Go,然后选择“连接到服务器...”" 
3. 在“服务器地址”中,键入网络资源的LAN IP地址(如192.168.0.x),然后单击 连接。
4. 输入网络资源的用户名和密码
5. 选择要访问的共享卷,然后单击“确定”。
通过***连接时,通常会在Finder侧栏中显示的网络资源将不会出现。 您可以在计算机目录中找到已连接的网络资源。 在Finder窗口中, 按 ⌘ + shift + c 跳到电脑目录。
Connect via Windows(通过Windows连接)
从连接到***的PC连接到共享网络目录:
1. 在搜索任务栏中的Web或Windows框中键入\\ 本地IP地址,然后按回车键(类似\\ 192.168.0.x)
2. 输入网络主机的用户名和密码
3. 然后,您将看到该主机共享的文件夹